palm84のブックマーク - はてなブックマーク

palm84 id:palm84

ブックマーク / jvn.jp (13)

JVN#62507275: 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題
不特定の相手からの再帰的な DNS 問い合わせに対してDNS キャッシュサーバとして動作してしまう機器のことをオープンリゾルバと呼びます。 DNS キャッシュサーバとして働く複数のブロードバンドルータには、オープンリゾルバとして機能してしまう問題が存在します。機器管理者が気付かないうちに、機器が DNS Amplification Attack に悪用され、DDoS 攻撃に加担してしまう可能性があります。
palm84 2013/09/19
セキュリティ
リンク
JVNVU#90348117: Portable SDK for UPnP にバッファオーバーフローの脆弱性
Porta ble SDK for UPnP の unique_service_name() 関数には、バッファオーバーフローの脆弱性が存在します。
palm84 2013/01/31
対策済みファームウェアの提供はまだ先らしい。「メディアサーバ」機能とかがやばいみたい？

セキュリティ
リンク
JVNVU#90193767: Adobe Shockwave Player におけるプラグインモジュールのインストールに関する問題
Adobe Shockwave Player は、Shockwave コンテンツを閲覧する際に、必要な Xtra (プラグインモジュール) をインストールします。このとき、Xtra に Adobe もしくは Macromedia の正しい署名が確認できた場合、ユーザに断りなく自動的に当該 Xtra がインストールされます。必要な Xtra は Shockwave コンテンツ自身が指定できるため、既知の脆弱性を持つ、古いバージョンの Xtra をインストールさせることが可能です。
palm84 2012/12/20
ウイルス対策

セキュリティ
リンク
JVNVU#91076352: Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題
JVNVU#91076352 Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題 Shockwave 11 向けであることを明示していない Shockwave コンテンツを閲覧した場合、古いバージョンの Shockwave ランタイムが、ユーザに断りなく自動的にインストールされます。なお、開発者が提供する Director 11 and Shockwave 11 Release White paper には、以下のように記載されています。 "When the user launches Shockwave content from a browser, the Shockwave 11 ActiveX control is downloaded to the <%System%>/Adobe/Shockwave 11 fold
palm84 2012/12/20
ウイルス対策

セキュリティ
リンク
JVNVU#93897900: Adobe Shockwave Player に旧バージョンの Flash ランタイムが同梱されている問題
Adobe Shockwave Player の Full インストーラには、旧バージョンの Flash ランタイムが同梱されています。 Adobe Shockwave Player は、別途システムにインストールされた Flash ランタイムではなく、Full インストーラでインストールされた Flash ランタイムを優先して使用します。
palm84 2012/12/20
ウイルス対策

セキュリティ
リンク
JVNTA08-149A: Adobe Flash Player の脆弱性を利用した攻撃に関する情報
Adobe Flash Player の脆弱性を利用した攻撃活動が確認されています。Flash Player 9.0.124.0 では、この攻撃活動で利用された脆弱性は既に対応されています。また、本脆弱性は、Flash Player 9 から導入された Action Script 3.0 によるもので旧バージョンで影響を受ける可能性は無いと考えられます。本脆弱性に対する攻撃は、細工された Flash ファイルをウェブサイトに埋め込みユーザに読み込ませる方法で、活動が既に行われていると報告されています。遠隔の第三者によって任意のコードを実行される可能性があります。また、攻撃者は悪意のあるソフトウェアのインストールに本脆弱性を使用する可能性もあります。アップデートする Adobe が提供する最新バージョンへアップデートしてください。 Flash コンテンツをブロックする使用するブラウザ
palm84 2008/05/30
セキュリティ・ホール
リンク
JVNVU#347812: ネットワーク機器において UPnP が有効になっている場合の問題
UPnP (Universal Plug and Play) に対応し、初期状態から UPnP 機能が有効になっている機器が複数のベンダから提供されています。遠隔の第三者が、細工した URL をユーザにアクセスさせることにより、ユーザのLAN内に接続されている UPnP 対応機器を操作したり設定を変更したりする可能性があります。 Universal Plug and Play (UPnP) は UPnP Forum により規定されている、ネットワーク機器を簡単に接続・利用するためのプロトコル群です。 PC で使われるソフトウェアのなかには、LAN内の UPnP 対応ファイアウォールやルータに対して、自動的にポート転送などの設定を行なうものもあります。 UPnP に対応したネットワーク機器は複数のベンダから提供されており、UPnP 機能が初期状態で有効になっている場合もあります。
palm84 2008/02/05
セキュリティ

network
リンク
JVNVU#112179: Apple QuickTime RTSP の Response message に含まれる Reason-Phrase 処理にバッファオーバーフローの脆弱性
JVNVU#112179 Apple QuickTime RTSP の Response message に含まれる Reason-Phrase 処理にバッファオーバーフローの脆弱性 Apple QuickTime RTSP の Response message に含まれる Reason-Phrase の処理には、バッファオーバーフローの脆弱性が存在します。 QuickTime 4.0 から 7.4 まで Winodws 版および Mac 版の QuickTime が本脆弱性の影響を受けます。また、iTunes など QuickTime を使用するソフトウェアをインストールしているシステムも本脆弱性の影響を受けます。 RTSP (Real Time Streaming Protocol) は、ストリーミングメディアシステムで使用されるプロトコルであり Apple QuickTime Str
palm84 2008/01/13
セキュリティ・ホール
リンク
JVNVU#715737: Mozilla Firefox における jar URI にクロスサイトスクリプティングの脆弱性
JVNVU#715737 Mozilla Firefox における jar URI にクロスサイトスクリプティングの脆弱性 Mozilla Firefox には、ウェブサイト上の細工されたアーカイブファイルを jar: URI 形式を処理する際にクロスサイトスクリプティングの脆弱性が存在します。 Mozilla Firefox は、圧縮されたファイルからコンテンツを展開する jar: URI 形式をサポートしています。jar:[url]![filename path] 形式でウェブサイト上の細工されたアーカイブファイルにアクセスした際、クロスサイトスクリプティングの脆弱性が存在します。この脆弱性を用いた攻撃では、細工されたアーカイブファイルをサイトに設置し、Mozilla ベースのブラウザで当該ファイルへアクセスさせることが必要となります。
palm84 2007/11/11
セキュリティ

セキュリティ・ホール

Mozilla
リンク
JVN#70734805: Lhaplus におけるバッファオーバーフローの脆弱性
Lhaplus は、複数の圧縮ファイル形式に対応した圧縮・展開を行うソフトウェアです。Lhaplus には、バッファオーバーフローの脆弱性が存在します。 Lhaplus は、複数の圧縮ファイル形式に対応した圧縮・展開を行うソフトウェアです。Lhaplus には、バッファオーバーフローの脆弱性が存在します。細工されたファイルの展開処理を行った場合に、その処理を行ったユーザの権限で任意のコードを実行される可能性があります。
palm84 2007/09/21
セキュリティ

セキュリティupdate
リンク
JVN#44724673: Java Web Start において許可されていないシステムクラスが実行される脆弱性
JVN#44724673 Java Web Start において許可されていないシステムクラスが実行される脆弱性緊急サン・マイクロシステムズから提供されている JRE(Java Runtime Environment) 等に同梱されている Java Web Start には、本来許可されていないシステムクラスが実行される脆弱性が存在します。 SDK 1.4.2 Update 13 およびそれ以前 JDK 5 Update 10 およびそれ以前 JRE 1.4.2 Update 13 およびそれ以前 JRE 5 Update 10 およびそれ以前詳しくはベンダの提供する情報をご確認下さい。 Java Web Start は、Web を通じて Java アプリケーションを配布するためのツールであり、JRE(Java Runtime Environment) 等の Java 実行環境に同梱
palm84 2007/05/09
セキュリティupdate
リンク
JVN#36628264: Lunascape の RSSリーダ機能において任意のスクリプトが実行される脆弱性
ウェブブラウザである Lunascape の RSSリーダ機能には、RSS 情報を出力する際の処理が不適切なため、RSS 情報に埋め込まれた任意のスクリプトが実行される脆弱性が存在します。
palm84 2007/04/27
セキュリティupdate

セキュリティ
リンク
JVN#84430861: Sage において任意のスクリプトが実行される脆弱性
Sage は、Mozilla Firefox に RSS/Atom フィードリーダー機能を追加する機能拡張です。Sage には、フィード内の情報を出力する際の処理が不適切なため、ユーザのブラウザ上でフィードに埋め込まれた任意のスクリプトが実行される脆弱性が存在します。 Sage 1.3.9 およびそれ以前なお、本脆弱性は Sage++ にも影響があることが確認されています。 2007/02/09 現在、Sage++ の公開およびアップデートは停止されています。Sage++ ユーザは Sage の最新版を利用することを推奨します。 Sage を利用しているユーザの Mozilla Firefox 上で任意のスクリプトが実行される可能性があります。スクリプトの内容によっては、クライアント内の任意のファイルを閲覧される可能性があります。
palm84 2007/02/09
Mozilla
リンク
1